Red Hat Training

A Red Hat training course is available for RHEL 8

50.9. Configurando as cifras suportadas em um Servidor HTTP Apache

Por padrão, o Servidor HTTP Apache no RHEL 8 utiliza a política de criptografia de todo o sistema que define valores seguros padrão, que também são compatíveis com navegadores recentes. Para a lista de cifras que a criptografia em todo o sistema permite, veja o arquivo /etc/crypto-policies/back-ends/openssl.config.

Esta seção descreve como configurar manualmente quais cifras o servidor HTTP Apache my_company.idm.example.com suporta. Siga o procedimento se seu ambiente exigir cifras específicas.

Pré-requisitos

Procedimento

  1. Edite o arquivo /etc/httpd/conf/httpd.conf, e adicione o parâmetro SSLCipherSuite à diretiva <VirtualHost> para a qual você deseja definir as cifras TLS: 

    SSLCipherSuite "EECDH AESGCM:EDH AESGCM:AES256 EECDH:AES256 EDH:!SHA1:!SHA256"

    Este exemplo permite apenas as cifras EECDH AESGCM, EDH AESGCM, AES256 EECDH e AES256 EDH e desativa todas as cifras que utilizam o código de autenticação de mensagens (MAC) SHA1 e SHA256.

  2. Reinicie o serviço httpd: 

    # systemctl restart httpd

Etapas de verificação

  1. Para exibir a lista de cifras que o Servidor HTTP Apache suporta:

    1. Instale o pacote nmap: 

      nmap # yum instalar nmap

    2. Use o utilitário nmap para exibir as cifras suportadas: 

      # nmap --script ssl-enum-ciphers -p 443 example.com
...
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
...

Recursos adicionais